@viragomann said in OpenVPN (pf ist Client) bleibt über Nacht getrennt: Diesen Job sollte das Watchdog-Package weitaus gezielter erledigen können. Es überwacht die VPN und startet den Service ggf. neu. Jein, das überwacht ja lediglich den Service Status und wenn der Server Up ist wird da auch nichts neu gestartet, weil der Prozess ja läuft. Mich wundert eher, dass da der Client die Verbindung nicht wieder aufbaut, denn dafür ist das Keepalive Statement zuständig und das funktioniert im Normalfall problemlos egal auf welcher Plattform.

Das bedeutet 3478 TCP handhabe ich mittels Proxy damit er auf der 192.168.24.6 landet: [image: 1611402609570-ca84e889-cc0c-4002-8c95-2f41cfbcbca7-grafik.png] [image: 1611402631155-87a33898-06fd-45e6-8c15-4236ae750014-grafik.png] [image: 1611402657643-dc24f810-d56d-4c7e-a0f8-57baea46d513-grafik.png] [image: 1611402690982-403e6e4c-f933-49d2-a23d-17c3f640818c-grafik.png] [image: 1611402710766-28213c01-710a-4ade-a1f5-9424b8fc2690-grafik.png] Damit ich den Turn-Server 3478 TCP aus dem LAN unter turn.externaldomain.de erreiche: [image: 1611402840819-4abe43c1-8ed2-46ac-a5b5-3510b8b14ebe-grafik.png] Einen Alias für die UDP-Ports: [image: 1611402915392-6e2357b8-36c0-445f-9b73-43fd2c5d5a1f-grafik.png] Diese per Port-Forwarding auf den lokalen Server: [image: 1611402970150-dcc25821-b295-43ce-981c-804cfab628de-grafik.png] Und ausgehend: [image: 1611403015995-3a47f2c1-2012-4dba-89f6-9e766e4178da-grafik.png]

Ja genau, und so soll es sein. Daher, wie bekommt man die Schriftgröße geregelt?

@prof-hase said in Nach Update auf aktuellste Version: Kein Start mehr möglich: @jegr Sorry, wollte die Daten gerade noch nachliefern - inzwischen hat die PFSense wieder gebootet und es scheint alles wieder OK zu sein. Für die Nachwelt, es wurde nichts verändert, die FW startete von alleine wieder durch. Aber was war es denn nun für eine? ;) Stable 2.4.5 oder hast du auf 2.5 Snapshots geupdated?

Mehr zum Test hier https://forum.netgate.com/topic/160001/public-ipv4-ipv6-via-vpn-tunnel

Da es schon am mehreren Stellen am grundlegenden Verständnis des Anfragers und des übergeordneten Entscheiders scheitert kann ich ihm nur anraten so etwas nicht selber umzusetzen. Das geht nicht nur schief und kostet Zeit, die Wahrscheinlichkeit die Sicherheit nicht nur nicht zu erhöhen sondern andere eklatante Fehler zu machen ist sehr hoch. Wenn ich von Berufs wegen her Buchhalter bin, bisher nur Autos gefahren habe und noch nie etwas mit dem Bau eines solchen zu tun hatte baue ja auch nicht mal eben mein Auto grundlegend um geschweige denn ich baue mir mein eigenes Auto nur weil ich besser oder gar sicherer damit unterwegs sein will. Mich zu belesen, andere - z.B. auch einen Ingenieur und Konstrukteur der Automobilbranche der das tagtäglich tut - danach zu befragen wird mir auch nichts nutzen.

Sehe ich auch so. Bei uns haben die pfSense zw. 2 und knapp 20 interne Netzwerke und zw. 1 und 7 physische NIC, mehr haben wir noch nie gebraucht. Der Rest läuft alles per VLAN sofern die Bandbreite reicht. Es gab / gibt hier und da Bedarf nach einer extra NIC, dann haben wir immer zwei USB Adapter für besondere Fälle und den schnellen Einsatz: einen JUE-130 von J5 Create und einen USB2-1000 von irgendwoher. Entscheidend ist immer der Chipsatz und die Treiberunterstützung - aber dauerhaft setzen wir so etwas nie ein. Die werden i.d.R. beim Start immer erkannt und funktionieren sofort - aber eben nicht dauerhaft. Irgendwann geben die einfach so auf und die Firewall bedarf eines Neustarts. Die Adapter sind gut um mal eben ein Test- oder weiteres Managementinterface zu haben aber dauerhaft nicht.

Kommt drauf an wer den VPN Dienst betreibt. Ggf. ist das ja wie JeGr sagte, eine Tochter, der Tochter des Neffen der Cousine des Schwagers der NSA oder GVU. Dann lieferst du denen deinen Kopf frei Haus Ich nutze die DNS die ich von meinem Provider erhalte. Google weiß ja schon was ich wann gesucht habe, die brauchen dann nicht auch noch jede einzelne DNS Abfrage von mir Archivieren. Wobei das ggf. praktisch ist, wenn ich die voll indiziert durchsuchen könnte, sollte ich mal wieder ein Lesezeichen vergessen haben zu setzen. Oder ich vor lauter Taps den richtigen nicht mehr wieder finde. Hinterfrage einfach, warum jemand für 3-5€ im Monat deinen ganzen Datenverkehr bei sich durch ein Monster AES Device jagen sollte ohne dann daran ein Interesse zu haben. In Zeiten von Big Data? Der dann ggf. noch im Ausland sitzt und unter Recht von Staat xyz steht? Da vertraue ich lieber meinem Provider der sich an die DSGVO halten muss.

@rentos said in pfSense [VM] hinter FritzBox 7590: Kann ich das Regelwerk denn über die Shell prüfen? Bin was pfSense angeht total neu und so.. Prüfen - indirekt. Du kannst dir die running config von pf anschauen (/tmp/rules.debug) und die das Livelog anschauen, was geblockt wird (console option 10: filter logs). Dann siehst du in Echtzeit was gegen den Filter ballert (soweits geloggt wird). Da kann dir jedoch JeGr sehr gut weiter helfen, der schraub auf dem Wegen gern mal an einer Sense rum ohne sie zu killen! Oft ;) Aber immer klappts auch nicht Und in dem Fall würde ich das auch nicht empfehlen. Nur gucken. Nicht anfassen^^ Aber ich würde auch erstmal mit nem TCPDump noch VOR dem Filter einfach mal schauen, ob der Kram überhaupt korrekt ankommt, sprich im richtigen VLAN richtig getaggt etc. etc. Wenn alle VLANs auf em0 laufen, kann man den tcpdump auch promisc auf em0 machen und sieht dann alle VLANs gleichzeitig - also den kompletten Traffic. Dann hat mans etwas einfacher. Muss dann nur schauen, ob wie gesagt die Pakete vom VLAN 14 bspw. auch aus VLAN14 kommen und nicht auf em0 übern Trunk o.ä. falsch laufen.

@tom-3 said in IPSEC mit einer statischen und einer dynamischen IP: Kein dynamisches DNS, ist ja Drama wenn man alternativen hat. Sowas kann halt nur von Leuten kommen, die die Technik nicht verstehen. Dynamische IP heißt dynDNS Adresse. Ob das ne eigene via RFC2136 gepushte ist oder ein DynDNS Service ist egal. Kann man auch mit 0.0.0.0 wie die Fritte hinfriemeln sicher, aber die gegenseitige ID ist halt quark. Warum macht man sich also mit solchen Vorgaben die Standardmöglichkeit kaputt, sowas sauber einzurichten? Ich weiß ja nicht was auf beiden Seiten steht, daher kann man auch nicht sagen, wie man das irgendwie tricksen könnte. Oder man machts eben gleich via OpenVPN zur statischen IP als Server und fertig. Aber IPsec hat eben gewisse Voraussetzungen. Und das 0.0.0.0 bezieht sich ja lediglich auf die eine Seite, die andere muss ja trotzdem für sich was als ID angeben/ausgeben, um die P1 auszuhandeln.

@tom-3 Prima, dass es dann gleich geklappt hat :)

@viragomann said in Frage zu High Avail Sync: Du kannst Status > CARP > Enter Persistent CARP Maintenance Mode auf der primären Box verwenden, um den Master für einige Zeit an die zweite zu übergeben. Bspw. für ein System-Upgrade. Da kannst du die erste auch mehrmalig neu starten. Den Master übernimmt sie erst wieder, wenn du den Maintenance Mode wieder abschaltest. Ich muss da was ergänzen / korrigieren: Voraussetzung ist, dass am Secundary nicht auch "Enter Persistent CARP Maintenance Mode" aktiviert ist. Falls doch, bleibt der Primary Master, ausgenommen er geht tatsächlich down, dann erst wird der Secundary Master. Habe peinlicherweise eben diese Erfahrung machen müssen, weil ich das am Secundary irrtümlich mal gesetzt hatte oder irgendwann vergessen hatte, es wieder zu deaktivieren.

Ja da bin ich ganz deiner Meinung @Exordium , Eine Übersicht würde viel mehr Komfort für nicht so versierte Anwender von PFsense bringen und die Lernkurve deutlich erhöhen.

@jegr said in Routing? Oder was anderes?: Berufsschulen und deren Lehrer sind da auch noch im Zeitalter Pre-1993 - und schreiben darüber dann sogar Prüfungen wo der komische Murks abgefragt wird in komplett weirden Szenarien die komplett Praxisfern sind :) Was meinst du was in DE passieren würde, wenn das auf einmal anders wäre. Da würden wir alle die Welt nicht mehr verstehen! OMG praxis bezogene Ausbildung, wo kommen wir denn da hin!?! @sascha.salentin Bist noch mit dem Netzkonzept beschäftigt oder haben wir dich so verschreckt das du jetzt verschwunden bis?

@bonedaddy höchstens nachschauen ob beim 2. WAN da auch Prefix Schnittstelle WAN2 drinsteht. Mehr wüsste ich jetzt nicht.